一、传统安全检测体系的挑战
下一代的威胁已经流行,但由于攻击的专业性和隐蔽性,其危害被大众所认知还需要较长的时间。而其中最大的误区在于,传统的安全检测体系能够检测到这些威胁,但是事实上,传统安全检测体系应对下一代威胁时,往往是失效的,传统安全检测体系广泛使用的检测技术有:
基于签名的检测技术
这类技术,广泛使用于传统杀病毒厂商、IDS、IPS厂商,其技术原理是通过获取已经广泛传播的攻击(漏洞、病毒、木马)样本,进行特征分析与提取,然后将特征写入检测产品中进行检测,这种方式针对已知且长期大量传播的攻击比较有效,但是针对广发使用0DAY漏洞、NDAY漏洞变形以及特马以及病毒木马变形的下一代威胁则很困难。2013年,SANS发布了一篇测评报告,报告选取了国际知名的主流传统安全检测设备(HP TippingPoint IPS、Check Point Firewall with IPS Blade、Palo Alto Networks Firewall、Cisco ASA with integrated IPS、fortinet FortiGate、Snort (in-line mode using Security Onion),通过一个5年前的老漏洞(MS08-067)进行变形来发起攻击,以上主流设备无一能检测到。(报告下载地址:,体现了传统安全检测技术在应对下一代威胁时的尴尬。
主动行为防御检测技术
在实际运行环境中基于运行行为的主动防御式检查,这类技术,主要使用在杀毒厂商的桌面防御系统上,但由于实时监控进程行为,会影响用户使用;同时由于大量的误报,需要用户对安全非常了解来作出判定,很难适应企业级的需求。同时,攻击者也研究出了不是对抗和绕过手段。#p#
二、新型威胁检测技术
随着APT攻击从2009年开始被美国重视以来,国际安全厂商逐步提出了一些新的检测技术并用于产品中,并且取得了良好的效果,这些技术逐步被重视,开始引领起下一代检测技术的变革。主要有:
虚拟执行分析检测
通过在虚拟机上执行检测对抗,基于运行行为来判定攻击。这种检测技术原理和主动防御类似,但由于不影响用户使用,可以最更深更强的检测以及防止绕过和在虚拟机下层进行检测。另外可疑性可以由对安全研究更深入的人员进行专业判定和验证。国外多家厂商APT检测的产品主要使用该技术。
内容无签名算法检测
针对内容深度分析发现可疑特征,再配合虚拟执行分析检测。该技术需要对各种内容格式进行深入研究,并分析攻击者负载内容的原理性特征。该技术可以帮助快速过滤检测样本降低虚拟执行分析检测的性能压力,同时虚拟执行分析检测容易被对抗,而攻击原理性特征比较难绕过。国外几个最先进的APT检测厂商检测的产品里部分使用了该技术。
新的检测技术面临的问题
事实求是的说,新的威胁检测技术产品使用后,再以前难以检测的APT攻击上,取得了比较明显的效果,但应该看到:这些效果是在攻击者还不知道该类产品和相关技术原理或取得的,而随着这些APT攻击检测技术的日益走向前台,攻击者也清楚了对抗者的存在和对抗技术的原理,之后的对抗必然产生,而且现有的检测技术在对抗上面,并不占有优势,下面是一些可能APT对抗的手段分析:
◆逻辑执行对抗:攻击者可以使用如触发时间逻辑,触发条件逻辑,检测虚拟机环境等多种手段来对抗虚拟执行分析检测。
◆云恶意对抗:攻击者植入的是无恶意行为的代码,通过检测方难以知道的 服务器 端动态条件,选择性的下载恶意代码来执行以逃过检测。
结论
APT攻击的检测与对抗,只是刚刚开始,还有很多很长的路需要走,这需要专业的研究和产品团队,长期投入并研究攻击者的手段并不断改进新的检测技术和方法,同时提供更加体系化的检测架构,才能对抗APT攻击带来的挑战。#p#
三、下一代安全检测体系思想
即使不考虑人的意识与管理制度的问题,只基于现有IT系统的脆弱性,我们也很难再IT基础架构上从根本上解决安全问题,现有IT基础没有客观技术标准定义恶意行为,加上大量很少考虑安全的IT产品的广泛部署和应用,注定APT攻击的检测与防御,其实是专业攻击团队与防御团队,是人和人,在技术、安全理解与智力的对抗。对于检测与防御者来说,短板在于必须兼顾用户的可用性易用性与习惯意识,并要在冲突时做出重大退让,而且企业IT环境的云化、移动化、软件定义化必然带来防御边界的模糊,攻击者进入路径过多,难以面面俱到,同时要考虑攻击者潜在可能的对抗手段以及后续带来的对方成本和检测成本。这就意味:难以期待一个万能的药方可以做到极致并全面解决问题,而建立一个纵深、立体的检测体系,才能适应这种环境的变化。
下一代安全检测体系,必须考虑基于如下角度来建立:
基于攻击生命周期的纵深检测体系
从攻击者发起的攻击生命周期角度,可以建立一个纵深检测体系,覆盖攻击者攻击的主要环节。这样即使一点失效和被攻击者绕过,也可以在后续的点进行补充,让攻击者很难整体逃逸检测。
◆信息收集环节的检测:攻击者在这个环节,会进行扫描、钓鱼邮件等类型的刺探活动,这些刺探活动的信息传递到受害者网络环境中,因此可以去识别这类的行为来发现攻击准备。
◆入侵实施环节的检测:攻击者在这个环节,会有基于漏洞利用的载体、木马病毒的载体传递到受害者网络环境中,因此可以去识别这类的行为和载体来发现攻击发起。
◆木马植入环节:攻击者在这个环节,会释放木马并突破防御体系植入木马。因此可以去识别这类的行为来发现入侵和入侵成功。
◆控制窃取与渗透环节:攻击者在这个环节,会收集敏感信息,传递敏感信息出去,与控制服务器通讯,在本地渗透等行为。因此可以去识别已经受害的主机和潜在被攻击的主机。#p#
◆双向流量覆盖:攻击者在信息收集环节、入侵实施环节主要是外部进入内部的流量。但在木马植入环节、控制窃取与渗透环节,则包含了双向的流量。对内部到外部的流量的检测,可以发现入侵成功信息、潜在可疑已被入侵的主机等信息。
◆从攻击类型角度覆盖:覆盖主要的可以到达企业内容的攻击类型,包括但不限于,基于数据文件应用的漏洞利用攻击、基于浏览器应用的漏洞利用攻击、基于系统逻辑的漏洞利用攻击、基于XSS、CSRF的漏洞利用攻击、恶意程序、信息收集于窃取、扫描、嗅探等。
基于攻击载体的多维度检测
针对每个具体攻击载体点的检测,则需要考虑多维度的深度检测机制,保证攻击者难以逃过检测。
◆基于签名的检测:采用传统的签名技术,可以快速识别一些已知的威胁。
◆基于深度内容的检测:通过对深度内容的分析,发现可能会导致危害的内容,或者与正常内容异常的可疑内容。基于深度内容的检测是一种广谱但无签名检测技术,让攻击者很难逃逸,但是又可以有效筛选样本,降低后续其他深度分析的工作量。
◆基于虚拟行为的检测:通过在沙箱中,虚拟执行漏洞触发、木马执行、行为判定的检测技术,可以分析和判定相关威胁。
◆基于事件关联的检测:可以从网络和主机异常行为事件角度,通过分析异常事件与发现的可疑内容事件的时间关联,辅助判定可疑内容事件与异常行为事件的威胁准确性和关联性。
◆基于全局数据分析的检测:通过全局收集攻击样本并分析,可以获得攻击者全局资源的信息,如攻击者控制服务器、协议特征、攻击发起方式,这些信息又可以用于对攻击者的检测。
◆对抗处理与检测:另外需要考虑的就是,攻击者可以采用的对抗手段有哪些,被动的对抗手段(条件触发)可以通过哪些模拟环境手段以达到,主动的对抗手段(环境检测)可以通过哪些方式可以检测其对抗行为。
我们认为:只有逐步实现了以上的检测体系,才是一个最终完备可以应对下一代威胁(包括APT)的下一代安全检测体系。当然,对抗是逐步的,产品也是逐步的,新型的下一代威胁检测产品会有一个逐步演化的过程。但只有最初的架构和演进的方向是明晰,且长期投入到APT攻防对抗实战演练中的安全企业,才能实现
父母关系和子女关系有什么区别
父母关系是指自己和爸爸,妈妈之间的关系。 以孩子为主体。 子女关系是指爸爸,妈妈和下一代的关系。 以父母为主体。
婚前体检套餐都有哪些项目?
结婚是件美好的事,让相爱的两人一起携手共度下半生,让彼此有所照料,更重要的是赋予传宗接代任务,让生命得以延续。 洋溢在一片喜气时,还有一项攸关双方幸福、下一代健康,是每个即将步入礼堂的新人们忽略不得的事-婚前健康检查。 也许很多人还会存疑,到底婚前健康检查值得这么重视吗?根本对于自己或配偶没有多大影响。 或者还有人认为结婚应该是要互相信任,做婚检好像是在怀疑对方,破坏互信原则。 更有一种人是害怕婚检会检查出疾病,让原本一段美好姻缘因此而破灭。 其实不然,“婚检套餐”只是让我们对彼此的健康有准确的了解,为未来幸福提供一种可能的保障。 女性婚检项目 费用标准体检静脉抽血 23.80胸部透视 3.60血常规(三分类) 8.60尿常规(八项) 17.30梅毒(RPR) 14.30肝功能五项+乙肝表抗 34.40地中海贫血筛查 25.70抗HIV检测 52.30妇检费(含材料) 7.60阴道分泌物检查 8.60 合计: 208.10 男性婚检项目 费用标准体检静脉抽血 23.80胸部透视 3.60血常规(三分类) 8.60尿常规(八项) 17.30梅毒(RPR) 14.30肝功能五项+乙肝表抗 34.40地中海贫血筛查 25.70抗HIV检测 52.30 合计: 191.90 以上项目由福田区妇幼保健院提供,据悉该院以上婚检项目免费。 体检的意义 1、确认你的遗传基因,避免疾病蔓延后代 目前已知人体的三万多个基因中,至少有数十个基因可能是不健全的潜伏因子,虽然绝大部分不至于显现或影响正常生活,但是这些有缺陷的基因却是会遗传给下一代。 以现在婚检的项目发展,有很多隐性的遗传性疾病都可在婚前得知。 2、检验你是否有传染病,预防祸及配偶及后代 不做婚检会让传染性疾病无法有效预防,如肝炎、潜伏性梅毒、艾滋病等,这些疾病除了会威胁自身健康外,还具有强烈的母体遗传性,但事实上,这些传染性疾病是可以预防的,有些甚至透过注射疫苗可以免除。 3、从婚检结果,做好优生教育指导 在整个婚检过程,医生还会向准新人讲授婚前、优生、避孕等方面的知识,并帮助制订生育计划,选择最佳受孕时机,避免计划外妊娠和不必要的人工流产。 而婚检结果不仅可以作为自己的参考,更让双方可以更加了解身体健康状况,更重要的是作为孕育下一代时做好万全准备,并设法改善下一代的身心健康,防止生出先天异常的婴儿,以提高人口素质。 婚前健康检查都应该有至少两次的就诊才能完成,第一次就诊主要是进行健康史的建立与进行相关的检查项目,第二次就诊是针对报告结果进行评估,并由专业医师给予说明与建议。 凡是可以治疗的疾病,应在婚前给予治疗,发现疑似遗传性疾病或精神疾病,需进一步作优生健康检查,并依医师转介接受周详的遗传及生育咨询。
SASE与SA-WAN构成怎样的集成方案产品?
数字化转型推动了前所未有的远程和基于云的工作浪潮,这对传统网络模型造成负担,加速向 SD-WAN 的网络转型,并带来新的安全挑战。 基于运营商专业知识和基于云的尖端技术下一代防火墙、SD-WAN 和安全远程访问技术让企业高枕无忧,他们的网络高度可靠、高效和安全。
SASE和安全SD-WAN领域的领导者,独特地结合了全功能 SD-WAN、全面的集成安全性、可扩展的高级路由、真正的多租户以及本地和云中的复杂分析,以满足 WAN 边缘要求小型到大型企业,以及服务提供商。 支持安全、可扩展和可靠的企业范围网络,提高多云应用程序性能并显着降低成本(资本支出和运营支出)。 SD-WAN 和 SASE 可在本地使用,通过服务提供商托管,通过云交付,并通过服务实现精益 IT。
支持多云访问、边缘安全和网络分析的下一代SD-WAN产品,以最大限度地提高投资回报。 这包括通过与市场领先的 SD-WAN 平台扩大合作伙伴关系,为其客户提供托管 SASE(安全访问服务边缘)产品。
随着企业越来越依赖需要从几乎任何设备、任何地点访问应用程序和网络资产的远程工作人员,安全威胁也在增加。 SASE 的有效性植根于有效的基于云的防火墙、SD-WAN 产品和员工的安全远程访问。
发表评论